Allmänna frågor

om EU:s dataskyddsreform

Vad består den reformerade dataskyddslagstiftningen av?
Vad innebär det att personuppgiftsbehandling generellt regleras i en förordning och inte ett direktiv?
När börjar förordningen gälla i Sverige?
Vilka är de viktigaste nyheterna för enskilda medborgare?
Vilka är de viktigaste nyheterna för bolag och andra som registrerar personuppgifter?
För vilka kommer den nya förordningen att gälla?
Vad händer med de särskilda regler om personuppgiftsbehandling som finns idag för olika svenska myndigheter?
Kommer förordningen att krocka med eller påverka andra lagar som rör behandling av personuppgifter, som exempelvis patientdatalagen?
Kommer undantaget för så kallad ostrukturerad information (§5a i personuppgiftslagen) att finnas kvar?
Kommer förordningen att påverka verksamheter med utgivningsbevis?
Hur påverkas Datainspektionen?

Vad består den reformerade dataskyddslagstiftningen av?

Den reformerade dataskyddslagstiftningen består av två delar: en EU-förordning som gäller alla utom polisen (och andra brottsbekämpande myndigheter) och ett EU-direktiv som bara gäller polisen (och andra brottsbekämpande myndigheter).

Vad innebär det att personuppgiftsbehandling generellt regleras i en förordning och inte ett direktiv?

Att det är en EU-förordning innebär att reglerna kommer att gälla som lag direkt och på samma sätt i alla EU:s medlemsstater. Förordningen kommer att ersätta EU:s nuvarande dataskyddsdirektiv från 1995. Dataskyddsdirektivet skulle "översättas" till nationell lag vilket har inneburit att varje land kan ha sin tolkning eller "dialekt" på direktivet. När förordningen träder i kraft kommer den att ersätta nationella regler, såsom den svenska personuppgiftslagen.

Även om det alltså blir en och samma lag om dataskydd i hela Europa så medger EU-förordningen vissa nationella särregler. Som det ser ut nu finns det till exempel utrymme för nationella regler för hur myndigheter får hantera personuppgifter.

När börjar förordningen gälla i Sverige?

Förordningen ska börja tillämpas i Sverige (liksom i övriga medlemsstater) den 25 maj 2018.

Vilka är de viktigaste nyheterna för enskilda medborgare?

För enskilda personer kommer rättigheterna att stärkas, bland annat ställs strängare krav på att företag och andra organisationer ska informera om hur de hanterar enskildas personuppgifter. Enskilda ska i vissa situationer även kunna säga nej till att en myndighet eller ett bolag använder ens personuppgifter. I Sverige kan man till exempel redan motsätta sig att ens personuppgifter används för att skicka direktreklam, men i den nya EU-förordningen utökas den rätten.

Enligt en dom i EU-domstolen från maj 2014 är det möjligt för personer att begära att sökmotorer som exempelvis Google tar bort resultat för sökfrågor som innehåller deras namn i fall resultaten är oriktiga, irrelevanta, inte längre relevanta eller överflödiga. Det kallas ibland "rätten att bli glömd".

Den nya EU-förordningen innehåller mer utförliga regler för när man har rätt att få uppgifter raderade och särskild hänsyn ska tas om det gäller uppgifter som samlades in då man var barn.

Ytterligare en nyhet för enskilda är rätten till "dataportabilitet", vilket ska göra det enklare för personer att flytta sina uppgifter från exempelvis ett socialt nätverk till ett annat.

Vilka är de viktigaste nyheterna för bolag och andra som registrerar personuppgifter?

För bolag, myndigheter och andra organisationer som samlar in personuppgifter ställs det nya krav. Skulle ett företag bli utsatt för dataintrång eller på något annat sätt tappa kontroll över personuppgifter så måste bolaget informera både de personer som uppgifterna gäller och Datainspektionen, om incidenten är allvarlig. Det kan den vara om uppgifterna som läckt ut kan leda till att personer utsätts för diskriminering, id-stölder, bedrägeri eller finansiella förluster.

Om ett bolag har för avsikt att hantera personuppgifter på ett sätt som kan medföra stora integritetsrisker så måste bolaget först göra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter, en så kallad konsekvensbedömning avseende dataskydd. Riskfylld behandling kan till exempel vara storskaliga register som innehåller genetiska eller biometriska uppgifter, uppgifter om barn eller storskalig kameraövervakning på allmän plats. Skulle analysen visa att risken är hög, måste bolaget kontakta Datainspektionen som då ska göra en förhandskontroll för att säkerställa att sättet att samla in och hantera personuppgifter är lagligt.

För vilka kommer den nya förordningen att gälla?

Förordningen omfattar i princip all behandling av personuppgifter, det vill säga sådan behandling som sker i företag, i föreningar, inom myndigheter och av privatpersoner. Det finns dock undantag:

  • personuppgiftsbehandling som sker av en privatperson för rent personligt bruk,
  • personuppgiftsbehandling som sker i verksamhet som inte omfattas av EU-rätten (till exempel försvar och nationell säkerhet)
  • personuppgiftsbehandling som sker i brottsbekämpande verksamhet, som exempelvis polisen

Förordningen gäller för de personuppgiftsansvariga som är etablerade i EU. Den gäller också för personuppgiftsansvariga som är etablerade utanför EU i vissa fall, nämligen om de behandlar personuppgifter i samband med att de erbjuder varor och tjänster till personer i EU eller behandlar personuppgifter i samband med övervakning av människors beteende i EU. Med det sistnämnda avses till exempel att man spårar enskilda personers beteende på internet för att skapa kundprofiler eller liknande.

Vad händer med de särskilda regler om personuppgiftsbehandling som finns idag för olika svenska myndigheter?

Även om förordningen ska gälla direkt som lag i Sverige finns möjligheter för varje land att bestämma närmare regler för sådan personuppgiftsbehandling som normalt sker hos myndigheter. I vilken mån de särskilda svenska regler som gäller idag för olika myndigheter kan behållas eller behöver anpassas kommer att behöva utredas vidare under de kommande två åren innan förordningen börjar gälla. En särskild utredning, dataskyddsutredningen, har fått i uppdrag att se över vilka kompletterande bestämmelser som behövs på generell nivå till följd av dataskyddsförordningen.

Kommer förordningen att krocka med eller påverka andra lagar som rör behandling av personuppgifter, som exempelvis patientdatalagen?

Förordningen innehåller generella regler om när personuppgiftsbehandling får ske i hälso- och sjukvård. Det kommer att behöva utredas vidare inom ramen för svenskt lagstiftningsförfarande i vilken mån reglerna i patientdatalagen behöver anpassas till förordningens regler. En särskild utredning har fått i uppdrag att se över vilka anpassningar av regler som behövs inom Socialdepartementets verksamhetsområde.

Kommer undantaget för så kallad ostrukturerad information (§5a i personuppgiftslagen) att finnas kvar?

Det finns ingen bestämmelse i förordningen som gör undantag för när personuppgifter behandlas automatiserat men i så kallad ostrukturerad form, det vill säga som den nuvarande bestämmelsen i 5a § personuppgiftslagen. Detta undantag kommer alltså inte att finnas kvar när förordningen börjar gälla.

Förordningens bestämmelser ger däremot i vissa fall (till exempel ifråga om vilka säkerhetsåtgärder som behöver vidtas) utrymme för att göra en risknivåbedömning och anpassa åtgärderna efter om risknivån är låg eller hög.

Kommer förordningen att påverka verksamheter med utgivningsbevis?

Nej, förordningen påverkar inte verksamheter med utgivningsbevis. Förordningen tillåter, precis som det tidigare dataskyddsdirektivet, att medlemsländerna gör undantag från reglerna om personuppgiftsbehandling om det är nödvändigt för att upprätthålla rätten till yttrandefrihet. Förhållandet till den svenska yttrandefrihetsgrundlagen är alltså oförändrat. I yttrandefrihetsgrundlagen regleras både sådana utgivningsbevis som gäller automatiskt för massmedieföretag och sådana som gäller efter ansökan, så kallat frivilligt utgivningsbevis. Ett utgivningsbevis innebär att reglerna om personuppgiftsbehandling inte gäller i den mån det skulle inkräkta på den grundlagsskyddade rätten till yttrandefrihet. Detta kommer alltså att fortsätta gälla.

Hur påverkas Datainspektionen?

Även för Datainspektionen blir det förändringar. Som nämnts ovan ska myndigheten utreda förhandskontroller som rör riskfylld behandling av personuppgifter. Datainspektionen ska också kunna döma ut en "administrativ sanktionsavgift", en form av böter, på upp till 20 miljoner euro. Datainspektionen ska kunna döma ut det till företag som exempelvis inte lämnar information till registrerade, hanterar personuppgifter utan lagligt stöd, inte anmäler en säkerhetsincident till Datainspektionen eller inte skyddar personuppgifter med lämpliga säkerhetsåtgärder.

En nyhet i förordningen är att enskilda ska kunna vända sig till "sin egen" dataskyddsmyndighet med klagomål som rör uppgifter som hanteras i ett annat land. En svensk ska alltså kunna vända sig till Datainspektionen med ett klagomål som rör ett företag i Tyskland. Dataskyddsmyndigheterna i EU:s medlemsstater kommer att behöva samarbeta ännu mer än tidigare enligt den nya förordningen.

EU:s dataskyddsreform

Tillbaka till Frågor och svar

Läs mer om EU:s dataskyddsreform

Här får du veta mer om EU:s dataskyddsreform och när de nya reglerna kan komma att införas i svensk lagstiftning.